Politique et pratiques du service de confiance Recommandé électronique qualifié AR24 1.3.6.1.4.1.50034.1.1.2 - Politique et pratiques du service ...

 
Politique et pratiques du service de confiance
                                             Recommandé électronique qualifié AR24
1.3.6.1.4.1.50034.1.1.2

                           Politique et pratiques du service de confiance

                                Recommandé électronique qualifié AR24

                                        1.3.6.1.4.1.50034.1.1.2

                          V. 1.0.6                         1
Politique et pratiques du service de confiance
                                                    Recommandé électronique qualifié AR24

                                                       Historique

                              Version      Date                       Rédigé par                   Mise à jour
                                1.0.0   07/08/2017                      AR24                   Version initiale
                                1.0.1   10/08/2018                      AR24               Corrections mineures

                                1.0.2   21/08/2018                      AR24                  Ajout de moyens
                                                                                       d’identifications et ajout d’un
                                                                                                    PSHE.
                                1.0.3   09/12/2018                      AR24             Précisions sur les moyens
                                                                                              d’identification.
1.3.6.1.4.1.50034.1.1.2

                                                                                            Changement d’OID.
                                1.0.4    05/2019                        AR24          Ajout Universign CA Hardware,
                                                                                          précision sur les fuseaux
                                                                                             horaires des PSHE.
                                1.0.5    10/2019                        AR24          Ajout de précisions dans le plan
                                                                                               de fin d’activité

                                1.0.6   31/05/2021                      AR24             Corrections et mises à jour
                                                                                         diverses (point de contact,
                                                                                           fournisseur de certificat,
                                                                                         mention de MIE). Ajout de
                                                                                         l’Identité Numérique de La
                                                                                             Poste comme moyen
                                                                                              d’identification des
                                                                                             destinataires (3.2.5)

                          V. 1.0.6                                2
Politique et pratiques du service de confiance
                                                                 Recommandé électronique qualifié AR24

                          Table des matières
                          1      INTRODUCTION                                                                    5
                          1.1    PRESENTATION GENERALE                                                           5
                          1.2    IDENTIFICATION DU DOCUMENT                                                      5
                          1.3    DATE D’ENTREE EN VIGUEUR                                                        5
                          1.4    GESTION DE LA POLITIQUE                                                         5
                          1.5    DOCUMENTS ASSOCIES                                                              6
                          1.6    ENTITES INTERVENANT DANS LE SERVICE DE RECOMMANDE ELECTRONIQUE                  8

                          2 RESPONSABILITES CONCERNANT LA MISE A DISPOSITION DES INFORMATIONS DEVANT ETRE
                          PUBLIEES                                                                        10
                          2.1    ENTITES CHARGEES DE LA MISE A DISPOSITION DES INFORMATIONS                     10
                          2.2    INFORMATIONS DEVANT ETRE PUBLIEES                                              10
                          2.3    DELAIS ET FREQUENCES DE PUBLICATION                                            10
1.3.6.1.4.1.50034.1.1.2

                          2.4    CONTROLE D’ACCES AUX INFORMATIONS PUBLIEES                                     10

                          3      IDENTIFICATION                                                                 11
                          3.1    IDENTIFICATION DE L’EXPEDITEUR                                                 11
                          3.2    IDENTIFICATION DU DESTINATAIRE                                                 13
                          3.3    CAS PARTICULIER D’IDENTIFICATION DES PERSONNES MORALES                         16
                          3.4    TRAITEMENT ET MODIFICATIONS DES COORDONNEES DES DESTINATAIRES                  16

                          4      EXIGENCES OPERATIONNELLES                                                      17
                          4.1    PROCESSUS D'ENVOI                                                              17
                          4.2    PROCESSUS DE REMISE                                                            17
                          4.3    MODIFICATION DES DONNEES                                                       19
                          4.4    DESCRIPTION DES PREUVES                                                        19
                          4.5    CYCLE DE VIE DES MOYENS D’IDENTIFICATION                                       21

                          5      GESTION DES RISQUES                                                            24
                          5.1    ANALYSE DE RISQUES                                                             24
                          5.2    HOMOLOGATION                                                                   24
                          5.3    PSSI                                                                           24
                          5.4    DECLARATION D’APPLICABILITE                                                    25

                          6      GESTION ET EXPLOITATION DU PSRE                                                26
                          6.1    ORGANISATION INTERNE                                                           26
                          6.2    RESSOURCES HUMAINES                                                            27
                          6.3    GESTION DES BIENS                                                              28
                          6.4    CONTROLE D'ACCES                                                               28
                          6.5    CRYPTOGRAPHIE                                                                  29
                          6.6    SECURITE PHYSIQUE ET ENVIRONNEMENTALE                                          29
                          6.7    SECURITE OPERATIONNELLE                                                        30
                          6.8    SECURITE RESEAU                                                                32
                          6.9    GESTION DES INCIDENTS ET SUPERVISION                                           32
                          6.10    GESTION DES TRACES                                                            33

                          V. 1.0.6                                             3
Politique et pratiques du service de confiance
                                                              Recommandé électronique qualifié AR24

                          6.11    ARCHIVAGE DES DONNEES                                                      36
                          6.12    CONTINUITE D'ACTIVITE                                                      37
                          6.13    FIN D'ACTIVITE                                                             38
                          6.14    CONFORMITE                                                                 39

                          7      AUTRES PROBLEMATIQUES METIERS ET LEGALES                                    42
                          7.1    RESPONSABILITE FINANCIERE                                                   42
                          7.2    CONFIDENTIALITE DES DONNEES PROFESSIONNELLES                                43
                          7.3    PROTECTION DES DONNEES PERSONNELLES                                         43
                          7.4    OBLIGATIONS DES UTILISATEURS                                                45
                          7.5    DROITS SUR LA PROPRIETE INTELLECTUELLE ET INDUSTRIELLE                      46
                          7.6    INTERPRETATIONS CONTRACTUELLES ET GARANTIES                                 46
                          7.7    DUREE ET FIN ANTICIPEE DE VALIDITE DE LA POLITIQUE                          46
                          7.8    CONFORMITE AUX LEGISLATIONS ET REGLEMENTATIONS                              46
                          7.9    FORCE MAJEURE                                                               47
1.3.6.1.4.1.50034.1.1.2

                          V. 1.0.6                                            4
Politique et pratiques du service de confiance
                                                           Recommandé électronique qualifié AR24

                          1 Introduction
                          1.1 Présentation générale
                          AR24 est une société de services informatiques commercialisant principalement un service
                          de Lettres Recommandées Électroniques (LRE). Ce service a pour vocation d'être qualifié au
                          sens de l'article 44 du règlement européen eIDAS, faisant d'AR24 un Prestataire de Services
                          de Confiance qualifié eIDAS.
                          L'organisation adoptée pour cela est présentée dans la section 1.4.
                          La présente Politique définit les engagements d’AR24 dans le cadre de la fourniture de
                          services de lettres recommandées électroniques qualifiées au sens de l'article 44 du
                          règlement européen eIDAS et dans l'objectif d'être référencé dans la liste de confiance
                          (Trusted List) des prestataires de service de confiance européens.
1.3.6.1.4.1.50034.1.1.2

                          1.2 Identification du document
                          La présente politique est identifiée par l’OID suivant : 1.3.6.1.4.1.50034.1.1.2

                          1.3 Date d’entrée en vigueur
                          La présente politique entre en vigueur le : 1 janvier 2019.

                          1.4 Gestion de la politique

                          1.4.1 Entité gérant la politique
                          La politique est gérée par les membres du comité de pilotage d’AR24.

                          1.4.2 Point de contact
                                                                     AR24 SAS
                                                     45/47 Boulevard Paul Vaillant Couturier
                                                              94200 IVRY-SUR-SEINE
                                                               Ou contact@ar24.fr

                          1.4.3 Procédure d’approbation de la politique
                          La politique est approuvée après examen et relecture par membres du comité de pilotage,
                          ou les personnes désignées par celui-ci. Cette relecture a pour objectif d’assurer :
                             –   La conformité de la politique avec les exigences réglementaires et normatives
                                 portant sur la fourniture d’un service de recommandé électronique qualifié.
                             –   La concordance entre les engagements exprimés dans la politique et les moyens
                                 techniques et organisationnels mis en œuvre par AR24 et ses partenaires.

                          V. 1.0.6                                       5
Politique et pratiques du service de confiance
                                                          Recommandé électronique qualifié AR24

                             –   Que toute modification importante dans la fourniture du service de confiance
                                 qualifiés (y compris celles entrainant des changements dans la liste de confiance)
                                 fasse l'objet d'une information de l'ANSSI selon les modalités décrites dans les
                                 procédures de qualification.

                          1.4.4 Amendements à la politique
                          AR24 contrôle que tout projet de modification de sa politique reste conforme aux exigences
                          réglementaires et normatives applicables.

                          1.4.4.1 Procédures d'amendement
                          Hormis les corrections induites par les audits (voir 6.14, p. 39) ou des corrections mineures
                          (erreurs, oublis, précisions supplémentaires…), les amendements pressentis à la présente
                          politique portent sur :
1.3.6.1.4.1.50034.1.1.2

                             –   L’extension du service de recommandé électronique qualifié à d’autres catégories
                                 d’utilisateurs et d’autres modalités d’identification (3, p. 11)
                             –   L’acceptation ou la mise en œuvre de nouveaux moyens d’identification (4.5)
                             –   Des changements d’ordre technique (mise en œuvre, partenaires/fournisseurs, etc.)
                          Avant tout changement effectif du service (passage en production), AR24 réalise une analyse
                          d’impact afin de déterminer si les évolutions ont une incidence sur la conformité de l’offre
                          qualifiée, et si celle-ci est majeure (impliquant un changement d’OID). L’analyse d’impact
                          peut, à cette occasion, être soumise à l’ANSSI et à l’organisme de certification pour avis ou
                          commentaire.
                          Le cas échéant, la politique est mise à jour, approuvée (1.4.3) et publiée avant toute mise en
                          œuvre. Les CGU (1.5.4) sont amendées concomitamment si besoin.

                          1.4.4.2 Mécanisme et période d'information sur les amendements
                          AR24 adressera annuellement à l'ANSSI et à l’organisme de certification une synthèse de
                          l'ensemble des modifications apportées à la fourniture de ses services de confiance qualifiés.
                          En cas de changement de la présente politique ou des CGU (1.5.4), les utilisateurs en sont
                          avertis par un message sur leur espace personnel.

                          1.4.4.3 Circonstances selon lesquelles l'OID doit être changé
                          Toute évolution de la présente politique ayant un impact majeur sur le service se traduit par
                          une évolution de l'OID, afin que les utilisateurs puissent clairement distinguer quels envois
                          correspondent à quelles exigences.

                          1.5 Documents associés

                          1.5.1 Politique d'horodatage
                          La date et l’heure d’envoi, de réception et toute modification des données sont indiquées
                          par un horodatage électronique qualifié.

                          V. 1.0.6                                       6
Politique et pratiques du service de confiance
                                                           Recommandé électronique qualifié AR24

                          Politiques d’horodatage en vigueur :
                             -   Universign Timestamping Service, OID : 1.3.6.1.4.1.15819.5.2.2
                             -   SK Time-Stamping Authority for qualified electronic time stamps, OID : 0.4.0.2023.1.1,
                                 https://www.sk.ee/en/repository/tsa/

                          1.5.2 Politique de certification du cachet électronique
                          Les certificats de cachet électronique utilisés par AR24 pour sceller les données sont des
                          certificats Certigna Entity (OID : 1.2.250.1.177.2.6.1.4.1) ou Universign CA hardware (OID :
                          1.3.6.1.4.1.15819.5.1.3.1) ou CERTINOMIS – PRIME CA (OID : 1.2.250.1.86.2.3.3.22.1).

                          1.5.3 Politique de scellement électronique
                          La politique de scellement électronique applicable aux cachets apposés sur les données du
1.3.6.1.4.1.50034.1.1.2

                          service (4.4, p. 19) a pour OID : 1.3.6.1.4.1.50034.1.2.1.0. Cette politique est disponible sur le
                          site d’AR24.

                          1.5.4 Conditions générales d'utilisation
                          Les CGU applicables (et leurs versions précédentes) sont disponibles sur le site d’AR24.

                          1.5.5 Documents normatifs
                                 [ANSSI_LRE]            Services d’envoi recommandé électronique
                                                        qualifiés – Critères d’évaluation de la
                                                        conformité́ au règlement eIDAS, Version 1.0
                                                        du 3 janvier 2017
                                                        https://www.ssi.gouv.fr/uploads/2016/06/eidas_envoi-
                                                        recommande-electronique-qualifie_v1.0_anssi.pdf
                                 [ANSSI_PSCO]           Prestataires de services de confiance
                                                        qualifiés – Critères d’évaluation de la
                                                        conformité́ au règlement eIDAS, Version 1.1
                                                        du 3 janvier 2017
                                                        https://www.ssi.gouv.fr/uploads/2016/06/eidas_psc-
                                                        qualifies_v1.1_anssi.pdf
                                 [EN_319401]            ETSI EN 319 401 V2.1.1 (2016-02) Electronic
                                                        Signatures and Infrastructures (ESI); General
                                                        Policy Requirements for Trust Service
                                                        Providers.
                                 [TS_102640-3]          ETSI TS 102 640-3 V2.1.2, Registered
                                                        Electronic Mail (REM) ; Information Security
                                                        Policy Requirements for REM Management
                                                        Domains

                          V. 1.0.6                                            7
Politique et pratiques du service de confiance
                                                           Recommandé électronique qualifié AR24

                                 [GDPR]                Règlement (UE) 2016/679 du Parlement
                                                       européen et du Conseil du 27 avril 2016
                                                       https://www.cnil.fr/fr/reglement-europeen-protection-
                                                       donnees
                                 [RGS]                 Référentiel général de sécurité, Version 1.0
                                                       du 6 mai 2010

                          1.6 Entités intervenant dans le service de recommandé électronique
                          Concernant les prestataires devant fournir un service qualifié, AR24 surveille régulièrement
                          (procédure automatique) le statut du service correspondant à travers la liste de confiance
                          nationale.
1.3.6.1.4.1.50034.1.1.2

                          1.6.1 Prestataire du service de recommandé électronique (PSRE)
                          Le PSRE est AR24.

                          1.6.2 Opérateur du service de recommandé électronique (OSRE)
                          L’opérateur du service de recommandé est AR24, assisté par la société Euskill pour la
                          fourniture du S.I.

                          1.6.3 Prestataire d'horodatage électronique (PSHE)
                          Les jetons d’horodatage utilisés par le service de recommandé sont émis par Universign
                          (OID :1.3.6.1.4.1.15819.5.2.2 – fuseau horaire utilisé : UTC+1 ; heure d’été : UTC+2) et SK ID
                          Solutions AS (OID : 0.4.0.2023.1.1 – fuseau horaire utilisé : UTC +2 ; heure d’été : UTC+3)

                          1.6.4 Fournisseur de certificat de cachet électronique (PSCE)
                          Le certificat utilisé par AR24 (cf. 1.5.3) pour apposer ses cachets est fourni par Dhimyotis ou
                          Certinomis (cf. 1.5.2). Ces fournisseurs sont indépendants d’AR24.
                          AR24 dispose également d’un cachet hébergé par Cryptolog (cf. 1.5.2). Ce fournisseur est
                          indépendant d’AR24.

                          1.6.5 Utilisateurs
                          Les utilisateurs du service sont les expéditeurs et les destinataires de recommandés
                          électronique.

                          1.6.6 Expéditeur
                          Dans le cadre de la présente politique, les expéditeurs de recommandés électroniques
                          appartiennent à l’une des catégories de population suivantes :
                             − notaires ou des clercs de notaires possédant une clé REAL (et donc un certificat émis
                                 par l’AC REALAUTH (OID 1.2.250.1.78.2.1.3.2.1.1) ou REAL

                          V. 1.0.6                                            8
Politique et pratiques du service de confiance
                                                             Recommandé électronique qualifié AR24

                                     (OID:1.2.250.1.78.1.1.3.1.3.1.1.22) http://www.preuve-electronique.org/), ainsi que
                                     toute personne dont l’identité a été vérifiée par l’un d’eux.
                                     Seuls les expéditeurs (dits « expéditeurs REAL ») possédant une clé REAL sont
                                     habilités à procéder à l’identification des destinataires en face-à-face (3.2.1).
                                 –   toute personne physique ou morale possédant un certificat électronique de signature
                                     ou d’authentification de niveau [RGS] () ou ()1 ou toute personne physique ou
                                     morale possédant un certificat de signature qualifié eIDAS
                                 –   toute personne physique ou morale ayant pris part aux processus décrits aux points
                                     3.1.1.4 à 3.1.1.8

                          1.6.7 Destinataire
                          Les destinataires sont :
                              – Soit des personnes morales ou physiques en relation avec un office notarial ;
1.3.6.1.4.1.50034.1.1.2

                                 –   Soit des personnes morales ou physique possédant un certificat électronique de
                                     signature ou d’authentification de niveau [RGS] () ou ().
                                 –   Soit des personnes morales ou physique possédant un certificat électronique de
                                     signature qualifié eIDAS
                                 –   Toute personne physique ou morale ayant pris part aux processus ou disposant d’un
                                     moyen d’identification tel que défini au point 3.2

                          1
                              Deux ou trois étoiles.

                          V. 1.0.6                                         9
Politique et pratiques du service de confiance
                                                          Recommandé électronique qualifié AR24

                          2 Responsabilités concernant la mise à disposition des informations
                            devant être publiées
                          2.1 Entités chargées de la mise à disposition des informations
                          La mise à disposition des informations devant être publiées à destination des utilisateurs du
                          service (expéditeurs et destinataires) et des tiers ayant à déterminer la validité des preuves
                          produites est réalisée par l’équipe en charge du site web https://www.ar24.fr.

                          2.2 Informations devant être publiées
                          AR24 s’engage à publier au minimum les informations suivantes à destination des
                          utilisateurs du service et des tiers ayant à déterminer la validité des preuves produites par
                          celui-ci :
                             − Le présent document, décrivant la politique et les pratiques du service de
1.3.6.1.4.1.50034.1.1.2

                               recommandé électronique (à l’adresse : https://www.ar24.fr/certifications/) ;
                             − Les documents associés mentionnés au 1.5.1 , 1.5.2 Et 1.5.3, ou, dans le cas où un de
                               ces documents serait maintenu et publié par un tiers, une référence univoque (URL,
                               OID, etc.) à celui-ci et un point de publication (à l’adresse :
                               https://www.ar24.fr/certifications/) ;
                             − Les conditions générales d’utilisation du service (1.5.4) à l’adresse
                               https://www.ar24.fr/cgu/ .

                          2.3 Délais et fréquences de publication
                          Les informations liées au service (nouvelle version des présentes, etc.) sont publiées dès que
                          nécessaire afin que soit assurée à tout moment la cohérence entre les informations publiées
                          et les engagements, moyens et procédures effectifs de AR24. En particulier, toute nouvelle
                          version est communiquée aux clients et, le cas échéant, faire l'objet d'un nouvel accord.
                          Les systèmes publiant ces informations sont au moins disponibles les jours ouvrés.
                          Il est à noter qu'une perte d'intégrité d'une information mise à disposition (présence de
                          l'information et intégrité de son contenu) est considérée comme une indisponibilité de cette
                          information.

                          2.4 Contrôle d’accès aux informations publiées
                          L'ensemble des informations publiées est libre d'accès en lecture.
                          L'accès en modification aux systèmes de publication des autres informations est strictement
                          limité aux fonctions internes habilitées de AR24, au moins au travers d'un contrôle d'accès
                          de type mots de passe basé sur une politique de gestion stricte des mots de passe.

                          V. 1.0.6                                      10
Politique et pratiques du service de confiance
                                                           Recommandé électronique qualifié AR24

                          3 Identification

                          3.1 Identification de l’expéditeur
                          Le service d’envoi recommandé électronique qualifié garantit l’identification de l'expéditeur
                          avec un degré de confiance élevé par l’un des moyens suivants :
                             –   par la présence en personne de l'expéditeur (ou du représentant autorisé de la
                                 personne morale) ; ou
                             –   à distance, à l’aide d’un moyen d’identification pour lequel la personne physique ou
                                 un représentant autorisé de la personne morale s’est présenté en personne et qui
                                 satisfait aux exigences des niveaux de garantie élevé ; ou
                             –   au moyen d’un certificat de signature électronique qualifié pour une personne
                                 physique ou d’un certificat de cachet électronique qualifié pour une personne
1.3.6.1.4.1.50034.1.1.2

                                 morale, délivré conformément à l’un des deux cas ci-dessus.

                          3.1.1 Validation initiale de l’identité

                          3.1.1.1 Expéditeur REAL
                          L’identité de l’expéditeur REAL est vérifiée en face-à-face dans le cadre de la délivrance de sa
                          clé REAL (1.6.6). Du point de vue d’AR24, l’expéditeur possède donc déjà un moyen
                          d’authentification forte garantissant son identité avec un degré de confiance élevé.

                          3.1.1.2 Expéditeur (ex-destinataire)
                          Il s’agit d’un expéditeur dont l’identité est vérifiée en face-à-face par un expéditeur REAL lors
                          d’un envoi précédent, envoi dont il était destinataire.

                          3.1.1.3 Expéditeur RGS
                          Il s’agit d’un expéditeur dont l’identité est vérifiée en face-à-face dans le cadre de la
                          délivrance d’un certificat [RGS] de niveau [RGS] () ou ().

                          3.1.1.4 Expéditeur Qualifié
                          Il s’agit d’un expéditeur dont l’identité est vérifiée en face-à-face dans le cadre de la
                          délivrance d’un certificat de signature ou de cachet Qualifié eIDAS.

                          3.1.1.5 Expéditeur FIDO - OTP
                          Il s’agit d’un expéditeur dont l’identité est vérifiée en face-à-face lors de la remise en main
                          propre d’une clé FIDO ou d’identifiants OTP sur support papier via un courrier recommandé
                          papier.

                          V. 1.0.6                                        11
Politique et pratiques du service de confiance
                                                            Recommandé électronique qualifié AR24

                          3.1.1.6 Expéditeur Notifié
                          Il s’agit d’un expéditeur dont l’identité est vérifiée par l’un des moyens d’authentification
                          notifié à la Commission européenne, et apparaissant sur le site de la Commission
                          européenne au moment de la vérification d’identité. En France, il s’agit notamment du
                          système FranceConnect ; pour les expéditeurs, seuls les moyens d’identification de niveau
                          « Élevés » sont disponibles.

                          3.1.2 Informations non vérifiées
                          La présente politique ne formule pas d'exigence spécifique sur le sujet.

                          3.1.3 Validation via un moyen d'identification
                          Avant toute opération relative à l’envoi d’un recommandé électronique, l’expéditeur
                          s’authentifie en ligne avec une clé REAL (1.6.6), un certificat RGS, un certificat qualifié, un
1.3.6.1.4.1.50034.1.1.2

                          moyen d’identification fourni par AR24 (3.2.4) ou l’usage d’un moyen d’identification
                          électronique notifié à la Commission européenne garantissant un niveau de confiance élevé.
                          À la suite de cette authentification, il peut bien sûr réaliser plusieurs opérations dans le
                          cadre de sa session. Il pourra notamment obtenir un moyen d’identification proposé par
                          AR24 sous la forme d’un OTP (voir 4.5).

                          3.1.3.1 Cas de la validation d’identité de l’expéditeur par l’usage d’un certificat de signature
                                  ou de cachet qualifié ou RGS()
                          Afin de s’identifier grâce à son certificat de signature ou de cachet qualifié, l’expéditeur
                          procède de la manière suivante :
                             − Il joint à son envoi au moins un fichier signé numériquement grâce à son certificat. La
                               signature du fichier doit dater de moins de cinq jours avant l’envoi et les
                               informations du certificat doivent correspondre à celles fournies lors de la création
                               du compte AR24
                             − Il signe un document produit par AR24 au moment de l’identification.
                             − Dans le cas d’un envoi effectué par lot et/ou de manière programmatique,
                               l’utilisateur signe la requête d’envoi entière (via l’un des champs POST de la requête
                               HTTP).
                          Dans tous les cas les informations du certificat doivent correspondre à celles fournies lors de
                          la création du compte AR24.

                          3.1.4 Validité des moyens d’identification délivrés par AR24 aux expéditeurs
                          Les moyens d’identification délivrés par AR24 aux expéditeurs sont valables pour une durée
                          de 5 ans à partir de la date de création. L’utilisateur a la possibilité lors de toute la durée de
                          validité du moyen d’identification d’utiliser ce dernier pour faire une demande de
                          renouvellement afin d ‘obtenir un nouveau moyen d’identification. Le renouvellement du
                          moyen d’identification est limité à une fois, après quoi l’utilisateur devra effectuer à
                          nouveau la vérification initiale.

                          V. 1.0.6                                        12
Politique et pratiques du service de confiance
                                                                Recommandé électronique qualifié AR24

                          3.2 Identification du destinataire
                          Le service d’envoi recommandé électronique qualifié garantit l’identification du destinataire
                          avant la fourniture des données. Les procédés de validation décrits ci-dessous sont valables
                          pour des personnes physiques et des personnes morales (et donc les représentants de
                          personnes morales).

                          3.2.1 Validation initiale de l’identité par un expéditeur REAL
                          L’identité du destinataire est vérifiée en face-à-face par un expéditeur REAL (cf. 1.6.6). Pour
                          cela, l’expéditeur s’authentifie fortement (3.1.3) auprès d’AR24 puis procède à
                          l’identification de son destinataire en complétant les informations suivantes :
                                          Personne physique                                         Personne morale
                               − Nom et prénoms d’état civil, tels                      − Adresse courriel de contact (p.ex.
                                 qu’apparaissant sur la pièce                             …@societe.fr)
1.3.6.1.4.1.50034.1.1.2

                                 d’identité (en cours de validité)
                                                                                        − La raison sociale de la société ou son
                                 présentée par le destinataire
                                                                                          numéro SIREN
                               − statut du destinataire (particulier ou
                                                                                        − Nom et prénoms d’état civil, tels
                                 professionnel2)
                                                                                          qu’apparaissant sur la pièce
                                                                                          d’identité (en cours de validité)
                                                                                          présentée par le représentant de la
                                                                                          société

                              − numéro de téléphone du destinataire (facultatif)
                              − Adresse courriel du destinataire
                          Le site vérifie alors qu’aucun compte n’existe déjà pour cette adresse courriel.
                              − Si aucun compte n’existe pour cette adresse courriel, le compte est créé (sans mot de
                                passe) et ne sera activable qu’à l’aide des codes de vérification automatiquement
                                produits (3.2.4).
                              − Si un compte existe déjà pour cette adresse courriel et que ce dernier a déjà été
                                vérifié, le site signale simplement qu'une identité a déjà été validée pour cette
                                adresse courriel. Il n’est alors pas nécessaire de produire des codes de vérification
                                (3.2.4), mais cela reste possible (dans le cas de la génération de nouveaux codes les
                                coordonnées du compte doivent être strictement identiques à ceux fournis lors de la
                                vérification initiale)
                              − Si un compte existe déjà pour cette adresse courriel mais que ce dernier n’a pas été
                                vérifié, les informations saisies lors de la vérification d’identité écraseront les
                                informations précédemment présentes sur le compte

                          2
                           Le statut du destinataire sert à déterminer la nécessité éventuelle de recueillir le consentement du
                          destinataire à recevoir des LRE.

                          V. 1.0.6                                              13
Politique et pratiques du service de confiance
                                                            Recommandé électronique qualifié AR24

                          À la suite de ces vérifications, le cas échéant, de nouveaux codes de vérification (3.2.4) sont
                          affichés par le site, avec possibilité de les imprimer.

                          3.2.2 Informations non vérifiées
                          La présente politique ne formule pas d'exigence spécifique sur le sujet.

                          3.2.3 Validation par certificat RGS ou certificat qualifié eIDAS
                          Pour les porteurs d’un certificat [RGS] de niveau [RGS] () ou () ou d’un certificat
                          qualifié eIDAS, la validation de l’identité est réalisée dans le cadre de la délivrance du
                          certificat. Cette procédure est valable pour les personnes physiques et les personnes
                          morales.

                          3.2.3.1 Cas de la vérification d’identité via un certificat de signature ou de cachet qualifié ou
1.3.6.1.4.1.50034.1.1.2

                                  RGS**
                          Dans le cas où le destinataire s’identifie avec un certificat qualifié, il lui sera demandé :
                             -   De signer électroniquement un document produit par AR24 au moment de la
                                 demande d’ouverture du courrier
                             -   De signer électroniquement la requête de demande d’ouverture du recommandé (via
                                 l’un des champs de la requête HTTP)
                             Dans les deux cas les informations du certificat doivent correspondre aux coordonnées
                             du destinataire telles que fournies par l’expéditeur.

                          3.2.4 Validation via un moyen d'identification

                          3.2.4.1 Code de vérifications
                          Le destinataire doit disposer de « codes de vérification » pour s’authentifier fortement sur le
                          site. Cette authentification est nécessaire à la création initiale du compte (si celle-ci a eu lieu
                          à la suite de l’envoi d’un recommandé) et pour retirer un pli recommandé.
                          Ces codes peuvent également être délivrés après identification vidéo face-à-face (par le
                          procédé propre à AR24 ou par celui de l’un des partenaires) ou lors d’un face-à-face lors de
                          la remise des codes par envoi recommandé papier.
                          Ces codes sont des mots de passe à usage unique (HOTP), séquentiellement produits par le
                          site ar24.fr : lors de la vérification d’identité initiale, une suite de 20 (vingt) HOTP sont
                          produits. Un code d’enrôlement TOTP (permettant l’usage d’un code dynamique sur une
                          application dédiée) est également produit. L’utilisateur peut s’en servir pour :
                             –   S’authentifier fortement pour retirer ou refuser un recommandé
                             –   Enrôler un autre moyen d’identification ; dans le cadre de la présente politique, les
                                 seuls moyens d’identification alternatifs enrôlables sont des TOTP (voir § 4.5).
                             –   Générer une nouvelle séquence (HOTP ou TOTP)

                          V. 1.0.6                                        14
Politique et pratiques du service de confiance
                                                            Recommandé électronique qualifié AR24

                          3.2.4.2 Clé FIDO
                          Le destinataire doit disposer d’une clé FIDO remise par envoi recommandé papier.
                          L’utilisateur peut se servir de cette clé pour :
                              –   S’authentifier fortement pour retirer ou refuser un recommandé
                              –   Enrôler un autre moyen d’identification ; dans le cadre de la présente politique, les
                                  seuls moyens d’identification alternatifs qui peuvent être enrôlés sont des TOTP
                                  (voir § 4.5).
                              –   Effectuer une demande de renouvellement de sa clé FIDO, dans ce cas un nouveau
                                  jeton valable 5 ans sera généré sur la clé FIDO. Le renouvellement ne peut être
                                  effectué qu’un seul fois pendant le cycle de vie de la clé FIDO.

                          3.2.4.3 Validité des moyens d’identification délivrés par AR24 aux destinataires
                          Les moyens d’identification délivrés par AR24 aux destinataires sont valables pour une durée
1.3.6.1.4.1.50034.1.1.2

                          de 5 ans à partir de la date de création. L’utilisateur a la possibilité lors de toute la durée de
                          validité du moyen d’identification d’utiliser ce dernier pour faire une demande de
                          renouvellement afin d ‘obtenir un nouveau moyen d’identification. Le renouvellement du
                          moyen d’identification est limité à une fois, après quoi l’utilisateur devra effectuer à
                          nouveau la vérification initiale.

                          3.2.5 Validation par le biais d’un moyen notifié à la CE ou qualifié au niveau substantiel
                          La validation de l’identité peut se faire via l’un des moyens notifiés à la Commission
                          européenne et disponible sur le site de la Commission européenne au moment de
                          l’identification. En France il s’agit notamment du système FranceConnect, pour les
                          destinataires les moyens d’identification de niveau « Substantiel » et « Élevés » sont
                          disponibles.
                          La validation peut également se faire par un moyen d’identification électronique qualifié au
                          niveau substantiel qui ne serait pas notifié à la CE tel que l’Identité Numérique de la Poste.

                          3.2.6 Validation de l’identité du destinataire par procédé vidéo
                          L’identité est vérifiée par un procédé vidéo équivalent à un face à face physique opéré par
                          AR24 ou par un de ses partenaires. Ce procédé garantit une identification à distance avec le
                          même niveau de confiance qu’un face à face physique, dans ce cadre le processus permet de
                          garantir l’absence de rejeu, d’altération et de manipulation d’image, d’usage de faux ou
                          d’artifice visant à usurper une identité. Les procédés utilisés doivent correspondre au degré
                          de confiance substantiel et doivent avoir fait l’objet d’une évaluation par l’ANSSI.
                          À l’issue de cette vérification l’utilisateur a la possibilité (mais pas l’obligation) d’enrôler un
                          moyen d’identification sous la forme d’un TOTP (s’il choisit de ne pas le faire il devra
                          effectuer à nouveau la vérification vidéo lors d’une future réception de courrier).
                          Un procédé permettant l’identification du destinataire par vidéo sans traitement automatisé
                          de ses données biométriques est également proposé.

                          V. 1.0.6                                         15
Politique et pratiques du service de confiance
                                                           Recommandé électronique qualifié AR24

                          Les données fournies par les destinataires sont supprimées 72 heures après le succès ou
                          l’échec de l’identification quel que soit le procédé utilisé (celui d’AR24 ou d’un partenaire).
                          Seule une référence au document utilisé lors de l’identification est conservée.

                          Dans le cadre de ce procédé, AR24 peut faire appel aux partenaires suivant :
                          - ARIADNEXT SAS
                          - Netheos SAS
                          - Onfido Limited

                          3.3 Cas particulier d’identification des personnes morales
                          Lorsque la vérification initiale d’une personne morale est réalisée par AR24 (notamment
                          dans le cadre des procédés vidéos), les points suivants sont vérifiés :
1.3.6.1.4.1.50034.1.1.2

                             − La personne morale existe et sa constitution peut être vérifiée auprès des sources
                               faisant autorités pour les personnes morales établies en France ou hors France
                             − Ces mêmes sources permettent d’identifier le ou les représentants légaux de la
                               personne morale
                             − Le ou l’un des représentants légaux procède à la vérification de son identité auprès
                               d’AR24
                          Si le représentant légal est dans l’impossibilité de procéder à la vérification de son identité
                          par AR24 il a la possibilité de déléguer son pouvoir à un tierce personne physique ou morale.
                          Dans ce cas il sera demandé à l’utilisateur mandataire de fournir un mandat signé par le
                          représentant légal avec au minimum une signature électronique avancée. L’utilisateur
                          mandataire procèdera ensuite lui-même à vérification de son identité avant de pouvoir
                          accepter la lettre recommandée.

                          3.4 Traitement et modifications des coordonnées des destinataires
                          Lorsqu’un expéditeur saisit les informations concernant son destinataire, il peut commettre
                          des erreurs, des inversions entre les noms et prénoms, des erreurs de frappes ou
                          orthographiques. Afin de permettre la bonne réception des courriers malgré ces erreurs,
                          AR24 procède à l’analyse et la comparaison des données fournies par l’expéditeur avec les
                          données obtenues de la part du destinataire lors de son identification. Si AR24 détecte des
                          différences mineures, la différence est acceptée automatiquement et l’expéditeur, tout
                          comme le destinataire, est notifié de ce changement.
                          Si des différences majeures sont détectés, le destinataire a la possibilité de signaler une
                          erreur et de notifier de manière automatisée l’expéditeur, qui pourra alors procéder lui-
                          même à la correction.
                          Dans les deux cas de figure, les renseignements initiaux et finaux figurent sur les preuves de
                          réception ou de refus des lettres recommandées.

                          V. 1.0.6                                       16
Politique et pratiques du service de confiance
                                                           Recommandé électronique qualifié AR24

                          4 Exigences opérationnelles
                          4.1 Processus d'envoi

                          4.1.1 Processus et responsabilités pour le dépôt d'une LRE
                          Une LRE ne peut être envoyée que par une personne disposant :
                             –   D’un compte (identifiant/mot de passe) sur le site ar24.fr
                             –   D’un moyen d’identification reconnu (3.1.3)

                          4.1.2 Traitement du dépôt d'une LRE
                          Pour déposer une LRE, l’expéditeur doit s’authentifier fortement sur le ar24.fr et en
                          sélectionner le ou les destinataires. S’il n’y a pas eu de vérification d’identité pour un des
1.3.6.1.4.1.50034.1.1.2

                          destinataires, l’expéditeur doit alors l’effectuer, tel que décrit en 3.2.1.
                          Une fois tous les destinataires identifiés, l’expéditeur peut rédiger la LRE et y ajouter des
                          pièces jointes.

                          4.1.3 Exécution des processus d'identification et de validation du dépôt
                          L’expéditeur doit s’authentifier avec son moyen d’identification (3.1.3) avant tout dépôt.
                          Aucune vérification n’est effectuée sur le contenu du dépôt.
                          Une fois le dépôt terminé, la LRE (c'est-à-dire le message et ses pièces jointes) sont scellées
                          par AR24 et horodatées.

                          4.1.4 Acceptation ou rejet du dépôt
                          Les dépôts sont considérés acceptés lorsque l’expéditeur termine son envoi et le valide.

                          4.1.5 Remise de la preuve de dépôt
                          Une preuve de dépôt sur laquelle est apposée le jeton d'horodatage est produite et mise à
                          disposition de l'utilisateur. Si ce dernier a autorisé la réception de preuve de dépôt par
                          courriel dans son profil AR24, il recevra aussi la preuve par ce biais.
                          Dans tous les cas, il peut visualiser la preuve dans la rubrique « Mes envois » de son espace
                          personnel. Si une erreur survenait lors du processus d'enregistrement du courrier,
                          l'utilisateur serait notifié immédiatement de l’échec de son courrier.

                          4.2 Processus de remise

                          4.2.1 Information du destinataire
                          Le destinataire est informé par courriel à l’adresse indiquée par l’expéditeur du dépôt d’une
                          LRE.

                          V. 1.0.6                                       17
Politique et pratiques du service de confiance
                                                           Recommandé électronique qualifié AR24

                          La notification apparaît aussi dans l’espace personnel du destinataire, sur le site ar24.fr.
                          AR24 vérifie que l'envoi de la notification (courriel) s’est bien déroulé, faute de quoi un
                          message d'erreur est retourné à l’expéditeur, lui indiquant que l'envoi de son courrier a
                          échoué. Si ce processus est effectué correctement, une preuve de « première présentation »
                          est mise à disposition de l’expéditeur.
                          Si AR24 est notifié par le serveur du domaine de l'adresse courriel de l’expéditeur d'une
                          impossibilité de délivrer le courrier (utilisateur inexistant, boite pleine, redirection non
                          conforme à la politique de SPF…), AR24 avertit l’expéditeur de la non-délivrance de la LRE
                          dans un délai maximum de 5 minutes après réception de la notification du serveur du
                          domaine du destinataire.

                          4.2.2 Exécution des processus d'identification du destinataire
                          Le courriel de notification contient un lien direct (URL unique) lui permettant d’accepter et
1.3.6.1.4.1.50034.1.1.2

                          de consulter la LRE, sur le site ar24.fr, ainsi qu’un lien direct lui permettant de la refuser.
                          Le destinataire peut aussi effectuer ces deux actions depuis son espace personnel.

                          4.2.3 Acceptation ou rejet de la LRE
                          L’acceptation et le rejet se font en accédant au lien direct correspondant dans le message de
                          notification (cf. ci-dessus) ou par le biais de l’interface Web de son espace personnel. Si le
                          destinataire ne s’est pas fortement identifié par l’un des moyens reconnus (3.2.3, 3.2.4,
                          3.2.5), l’authentification a lieu à ce moment.
                          L’activation du compte du destinataire peut aussi être déclenchée par la première
                          acceptation (ou rejet), si celui-ci ne disposait pas de compte sur le site ar24.fr.

                          4.2.4 Délai d'acceptation de la LRE
                          Le destinataire dispose d’un délai de 15 jours, à compter du lendemain de la première
                          notification, pour accepter ou refuser la LRE.

                          4.2.5 Transmission de la LRE
                          Si le destinataire accepte la LRE, son contenu est présenté dans le navigateur, et une copie
                          est transmise par courriel à son adresse.

                          4.2.6 Remise de la preuve de réception
                          En cas d’acceptation, une preuve de réception est générée et mise à disposition de
                          l’expéditeur. Si ce dernier a activé l'option de notification par courriel des preuves de
                          réception dans son profil, il recevra instantanément cette preuve sur sa boite courriel.

                          4.2.7 Remise de la preuve de refus
                          En cas de refus, une preuve de refus est générée et mise à disposition de l’expéditeur.

                          V. 1.0.6                                       18
Politique et pratiques du service de confiance
                                                                 Recommandé électronique qualifié AR24

                          Si ce dernier a activé l'option de notification par courriel des preuves de refus dans son
                          profil, il recevra instantanément cette preuve sur sa boite courriel.

                          4.2.8 Remise de la preuve de non-réclamation
                          Si le destinataire n'entreprend aucune action lors du délai d’acceptation (4.2.4) et ce, malgré
                          les deux relances hebdomadaires faites par AR24, la LRE est considérée comme non
                          réclamée. Une preuve de non-réclamation est générée et mise à disposition de l’expéditeur.
                          Si ce dernier a activé l'option de notification par courriel des preuves de non-réclamation
                          dans son profil, il recevra également cette preuve sur sa boite courriel.

                          4.3 Modification des données
                          Les données des LRE (message et pièces jointes) ne font l’objet d’aucune modification dans
                          le cadre de leur acheminement. Voir 3.4 pour le traitement des coordonnées du
1.3.6.1.4.1.50034.1.1.2

                          destinataire.

                          4.4 Description des preuves
                          Toutes les preuves produites par le service sont au format PDF et sont scellées par un cachet
                          électronique respectant le standard PAdES Baseline Profile, ETSI TS 103172, v.2.2.2,
                          (niveau B) conformément à Décision d'exécution (UE) 2015/1506 de la Commission du 8
                          septembre 2015 établissant les spécifications relatives aux formats des signatures
                          électroniques avancées et des cachets électroniques avancés du règlement (UE)
                          no 910/2014.
                          Ces cachets sont apposés conformément à la politique mentionnée en 1.5.3.

                          4.4.1 Preuve de dépôt et d’envoi
                          La preuve de dépôt et d’envoi est un fichier au format PDF reprenant les éléments suivants.
                                       Donnée                            Précisions
                                       Nom et prénom ou raison           -
                                       sociale de l’expéditeur
                                       Adresse électronique de           -
                                       l’expéditeur
                                       Nom et prénom ou raison           -
                                       sociale du destinataire
                                       Adresse électronique du           -
                                       destinataire
                                       Niveau de garantie                Les preuves émises au titre de l’article 44 du Règlement
                                                                         eIDAS se distinguent par la mention de l’OID de la
                                                                         politique applicable et la présence de la EU Trust Mark3

                          3
                              https://ec.europa.eu/digital-single-market/en/eu-trust-mark

                          V. 1.0.6                                               19
Politique et pratiques du service de confiance
                                                             Recommandé électronique qualifié AR24

                                     Donnée                        Précisions
                                     Numéro d’identification       -
                                     unique de l’envoi
                                     Jeton d’horodatage            La date et heure de l’envoi sont présentées lisiblement
                                     qualifié                      dans la preuve, au même titre que les autres
                                                                   informations. L’heure affichée sur le pdf de preuve est
                                                                   au fuseau CET (UTC+1).
                                                                   Elles proviennent du jeton d’horodatage qualifié apposé
                                                                   sur les données transmises, qui est lui-même inclus dans
                                                                   la preuve (encodé en base64).
                                     Cachet électronique           Cachet apposé sur les données (contenu du pli) pour les
                                     avancé                        protéger contre toute modification. Il s’agit du cachet
                                                                   PAdES apposé sur le fichier preuve lui-même.
1.3.6.1.4.1.50034.1.1.2

                          Remarque : l’intégrité des données est assurée par le cachet apposé sur la preuve, puisque
                          celle-ci contient une empreinte des données (provenant du jeton d’horodatage).
                          L’algorithme d’empreinte est le SHA-256.

                          4.4.2 Preuve de réception
                          La preuve de réception contient :
                                     Donnée                        Précisions
                                     Les données de la preuve      La preuve de réception en reprend les données suivantes :
                                     de dépôt et d’envoi
                                                                       •   Nom et prénom ou raison sociale de l’expéditeur
                                     (4.4.1)
                                                                       •   Adresse électronique de l’expéditeur
                                                                       •   Nom et prénom ou raison sociale du destinataire
                                                                       •   Adresse électronique du destinataire
                                                                       •   Niveau de garantie
                                                                       •   Numéro d’identification unique de l’envoi
                                     Identité du récepteur         Il s’agit du destinataire.
                                     Référence à                   Cette information est présentée sous la forme d’une
                                     l’identification préalable    référence au moyen d’identification utilisé par le
                                     du récepteur                  destinataire.

                          V. 1.0.6                                         20
Politique et pratiques du service de confiance
                                                            Recommandé électronique qualifié AR24

                                     Donnée                        Précisions
                                     Jeton d’horodatage            Cf. preuve de dépôt pour le format.
                                     qualifié                      Le jeton d’horodatage est spécifique à la preuve de
                                                                   réception. L’algorithme d’empreinte est le SHA-256,
                                                                   l’heure affichée sur le pdf de preuve est au fuseau CET
                                                                   (UTC+1).

                          4.4.3 Preuve de refus
                          La preuve de refus contient :
                                       Donnée                        Précisions
                                       Les données de la preuve Idem. preuve de réception
1.3.6.1.4.1.50034.1.1.2

                                       de dépôt et d’envoi
                                       (4.4.1)
                                       Jeton d’horodatage            Indique la date et heure de refus.
                                       qualifié
                                                                     Cf. preuve de dépôt pour le format.
                                                                     L’algorithme d’empreinte est le SHA-256, l’heure affichée
                                                                     sur le pdf de preuve est au fuseau CET (UTC+1).

                          4.4.4 Preuve de non-réclamation
                          La preuve de non-réclamation contient :
                                        Donnée                       Précisions
                                        Les données de la            Idem. preuve de réception
                                        preuve de dépôt et
                                        d’envoi (4.4.1)
                                        Date de production de la     Indique la date et heure de non-réclamation.
                                        preuve                       L’algorithme d’empreinte est le SHA-256, l’heure affichée
                                                                     sur le pdf de preuve est au fuseau CET (UTC+1).

                          4.5 Cycle de vie des moyens d’identification
                          Dans le cadre de la présente politique, les moyen d’identification reconnus dépendent du
                          type d’utilisateur :
                              Expéditeur REAL (cf. 1.6.6)        –    Clé REAL

                          V. 1.0.6                                        21
Politique et pratiques du service de confiance
                                                           Recommandé électronique qualifié AR24

                              Expéditeur                         –   HOTP
                                                                 –   TOTP
                                                                 –   FIDO
                                                                 –   Certificat Qualifié
                                                                 –   Moyens notifiés à la CE
                                                                 –   Certificat RGS
                              Destinataire                       –   HOTP
                                                                 –   TOTP
                                                                 –   FIDO
                                                                 –   Certificat RGS
1.3.6.1.4.1.50034.1.1.2

                                                                 –   Certificat qualifié

                          Le cycle de vie des clés REAL ne dépend pas d’AR24 et est décrit dans la politique de
                          certification associée (voir 1.6.6). Il en est de même pour les certificats RGS, les certificats
                          qualifiés et l’authentification par des moyens notifiés à la CE. La présente politique ne traite
                          donc que des moyen d’identification suivants dont le cycle de vie est géré par AR24 :
                             –   HOTP : Il s’agit d’OTP basés sur la RFC4225 (OTP produits à partir d’un compteur).
                             –   TOTP : Il s’agit d’OTP basés sur la RFC6238 (OTP à durée de vie limitée produits en
                                 fonction du temps).
                             –   FIDO

                          4.5.1 Remise à l'expéditeur
                          Les moyen d’identification remis à un expéditeur sont les mêmes que ceux remis à un
                          destinataire.

                          4.5.2 Remise au destinataire
                          Le destinataire reçoit une liste d’HOTP en mains propres lors de la validation initiale de son
                          identité (3.2.1) par un expéditeur REAL ou reçoit son moyen d’identification (OTP ou FIDO)
                          par lettre recommandée papier.
                          Il peut aussi générer une nouvelle liste depuis son espace personnel en ligne (ar24.fr). Cette
                          génération requiert une authentification forte par le biais d’un OTP valide (de la liste
                          précédente).

                          4.5.3 Révocation du moyen d’identification
                          La révocation des clés REAL ne dépend pas d’AR24 et est décrit dans la politique de
                          certification associée (voir 1.6.6), de la même manière, la révocation des certificats RGS et
                          qualifié eIDAS ainsi que des moyens d’identification notifié à la CE ne dépend pas d’AR24.

                          V. 1.0.6                                       22
Politique et pratiques du service de confiance
                                                          Recommandé électronique qualifié AR24

                          La fonction de révocation est disponible 24h/24h, avec une durée maximale d’indisponibilité
                          de 96h (quatre-vingt-seize heures).

                          4.5.3.1 Origine d'une demande
                          Les demandes de révocation d’un moyen d’identification sont effectuées par le porteur du
                          moyen d’identification lui-même.

                          4.5.3.2 Validation de la demande
                          Pour révoquer son moyen d’identification, le porteur s'authentifie sur son espace personnel
                          avec son login et son mot de passe.

                          4.5.3.3 Traitement d'une demande
                          La révocation est gérée automatiquement depuis l'interface utilisateur.
1.3.6.1.4.1.50034.1.1.2

                          4.5.3.4 Délai de traitement d'une demande
                          Le moyen d’identification est révoqué dans les secondes qui suivent la demande du porteur.

                          4.5.3.5 Notification de la révocation au porteur du moyen d’identification
                          Le nouveau statut du moyen d’identification est affiché dans l’espace du porteur.

                          V. 1.0.6                                     23
Politique et pratiques du service de confiance
                                                           Recommandé électronique qualifié AR24

                          5 Gestion des risques
                          5.1 Analyse de risques
                          Avant le lancement du service qualifié, AR24 effectue une évaluation des risques afin
                          d'identifier, d'analyser et d'évaluer les risques, en tenant compte des aspects techniques et
                          commerciaux. L’analyse de risque identifie, en particulier, les systèmes « critiques » du
                          service.
                          Les mesures de sécurité seront prises en tenant compte du résultat de cette analyse.
                          AR24 fixe, dans sa PSSI, les exigences de sécurité et les procédures opérationnelles
                          nécessaires pour mettre en œuvre les mesures identifiées.
                          L'analyse de risques est examinée et révisée annuellement. Elle est aussi mise à jour à
                          chaque modification ayant un impact important sur le service, notamment en cas de
                          modification des politiques ou pratiques relatives à sa fourniture.
1.3.6.1.4.1.50034.1.1.2

                          Les risques résiduels identifiés sont acceptés durant le processus d'homologation du service.

                          5.2 Homologation
                          À la suite de la finalisation de l’analyse de risque, AR24 procèdera à l’homologation du
                          service. Cette homologation est réalisée préalablement à la fourniture du service de
                          confiance qualifié puis révisée au moins tous les deux ans.

                          5.3 PSSI
                          AR24 dispose d’une politique de sécurité du système d’information (PSSI) du service. Cette
                          PSSI est approuvée par la direction.
                          La PSSI et ses différentes versions seront communiquées aux abonnés du service, aux
                          prestataires, aux organismes d'évaluation et à l'ANSSI.
                          La PSSI est transmise aux employés et aux éventuels sous-traitants.
                          AR24 conserve la responsabilité globale de la conformité avec les procédures prévues dans
                          sa PSSI, même lorsque certaines fonctions sont mises en œuvre par des sous-traitants. En
                          particulier, AR24 s'assure de la mise en œuvre effective des mesures prévues dans la PSSI.
                          La PSSI établit un inventaire des actifs du SI. Cet inventaire est revu régulièrement.
                          Tout changement susceptible d'avoir un impact sur le niveau de sécurité fourni est approuvé
                          par le comité de pilotage du service.
                          La configuration du SI est régulièrement auditée afin de détecter tout changement pouvant
                          être à l'origine d'une violation des politiques de sécurité.
                          La PSSI et l'inventaire des actifs sont revus annuellement.

                          V. 1.0.6                                       24
Vous pouvez aussi lire